IT时报记者郝俊慧
　　收到过短信验证码吗？这似乎是个不是问题的问题。那么，30分钟内收到过2000个验证码吗？
　　不久前，小北在某直播间买了一瓶兰蔻粉水，收到货后，她怀疑这是假货，于是向平台投诉“假冒品牌退货”。没想到，退款刚到账，小北的手机便不断响起，短短几分钟内连续收到26通电话和51条验证码短信，“有人在‘呼死我’。”小北告诉记者。
　　垃圾短信、电话骚扰被治理多年后，黑产找到了新的骚扰方式：短信轰炸。近日，广西警方公布了首例短信轰炸案例的侦破过程，犯罪嫌疑人搭建网站后，通过兜售、推广短信轰炸以及游戏外挂等黑产，共发展450多个下级代理，仅河南开封的一个代理便实施了500多万条短信轰炸。
　　数据显示，目前全网至少有超过2000个网站的3500多个验证码接口和2400多个短信接口，被利用于短信轰炸，每天约有160万短信被用于攻击。而据《IT时报》记者调查，短信轰炸成本极低，30元便可以在半个小时内向指定号码发送数千条短信。
广西首例短信轰炸案被侦破
　　今年8月，广西来宾市武宣县网安大队接到举报：有人在网上搭建网站平台之后，兜售、推广短信轰炸以及游戏外挂等黑产，包月价格是10-38元。经过排摸侦查后，8月24日，卓某健被抓获，警方现场扣押了7部手机、2台工作电脑和1张银行卡。在抓捕现场，警方发现，卓某健的手机依然在不断推送短信轰炸的广告，搭建的网站也一直有收益入账，这说明一直有人在浏览、购买他的服务。
　　通过审讯，警方了解到，卓某健前后共搭建了11个网站，销售两千多种黑产项目。如今卓某健已被刑事拘留，涉嫌破坏计算机信息系统罪，他的上级张某在哈尔滨也已被抓获，而河南开封一个实施了500多万条短信轰炸的下级代理，也被当地警方批准逮捕。
　　短信轰炸，也称“呼死你”，即短时间内被骚扰号码收到大量通信请求。以往“呼死你”常见的是电话轰炸，但最近两年，短信轰炸越来越多，其表现形式是，利用正规网站平台登录时需要验证码的方式，对某个手机号码集中式发送短信，直接后果便是，手机被汹涌而来的验证码短信“卡死”无法使用。
　　腾讯安全天御风控专家杨红介绍，短信轰炸原理并不复杂，黑产通过爬虫手段搜集大量网站的发送短信接口，集成到轰炸网站或者轰炸软件上，当买家提出购买需求后，黑产软件以“被轰炸的手机号码”为用户名，集中访问这些网站并提出短信验证码需求，从而使被害者手机不停收到这些网站下发的验证码短信。“短信轰炸的黑产比较分散，产业链很长，嫌疑人不需要很高技术门槛就能操作，而被害人往往自认倒霉，缺乏主动报案意识。这给打击短信轰炸行为带来一定困难。”广西来宾市武宣县网安大队韦正丰告诉记者，由于短信轰炸成本较低，近几年，常被一些裸聊团伙、催债团伙利用，不仅“轰”欠债人，有的甚至连联系人一起“轰”，给被害人造成不可预计的影响和损失。
30元数千条短信多次购买也违法
　　《IT时报》记者找到一家提供“短信轰炸服务”的代理，报价30元“轰炸”30分钟，保证发送2000条以上短信，平均每秒1条以上。“短信轰炸的成本和门槛极低，每天至少有160万条轰炸短信发出。”杨红介绍，出现短信轰炸的核心原因是，很多网站的短信验证码接口“太简单”，只要输入一个手机号码就能申请发送短信验证码，很容易被黑产利用。
　　此前腾讯安全协助警方打击的一些黑产案件，每天发送量都在百万条以上，而百度指数搜索“呼死你”“轰炸”等关键词的次数比例也远比前几年高。由于获取容易、成本低廉，不仅中介、传销、催收、赌博等行业使用频繁，有时候普通消费者发个差评、打个投诉电话，都有可能被商家报复性“轰炸”。
　　事实上，无论买家还是卖家，都涉嫌违法。
　　腾讯守护者计划安全专家黄汉川介绍，非法搭建短信轰炸工具进行收费，涉嫌违反《中华人民共和国刑法》第286条“破坏计算机信息系统罪”，因为破坏了公民正常的手机系统及通信使用；同时涉嫌违反《中华人民共和国刑法》285条第三条，提供非法控制侵入计算机系统的工具程序罪，如果和套路贷、裸聊、敲诈等等一些黑灰产相结合，则属于诈骗共犯。
　　《中华人民共和国刑法》第286条规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。韦正丰对此解释，违法所得5000元以上属于后果严重，违法所得25000元以上属于后果特别严重。
　　买家同样也不能免责。韦正丰介绍，“根据《中华人民共和国治安管理处罚法》第42条，多次发送淫秽、侮辱、恐吓或者其他信息，干扰他人正常生活的，处5日以下拘留或者500元以下罚款；情节较重的，处5日以上10日以下拘留，可以并处500元以下罚款，“没有具体条数，多次发送即违法。”
　　同时，记者测试中也发现，有的所谓提供“短信轰炸服务”的网站，其实并不能实现“炸机”效果，只是利用买家急迫的心理骗钱而已。
一键免密登录从源头管起
　　无论被“轰炸”的个人，还是被利用发送验证码的网站，都是“短信轰炸”的受害者，面对产业链条超长的黑产，防范措施必须从源头到终端，层层布设防线。
　　最重要的是，从源头开始管起。杨红表示，一种方式是网站提供网关验证，也即用户登录时，从原先的输入短信验证码，改为从网关取号，也即现在不少网站采用的“本机号码免密登录”。比如记者在登录手机京东时，页面会显示记者的手机号码，并且提示将“本机号码一键登录”，确认之后，秒速登录，无需花费数秒等待验证码。登录时需勾选的《天翼账号认证服务条款》如此介绍：免密登录是天翼账号产品首创的一种快捷、安全登录方式，通过手机移动数据网络认证当前本机SIM卡的手机号码，登录时免除输入账号密码，同时确保手机号账号是在本机上登录，不会被他人盗用。
　　为什么这种方式最安全呢？
　　据《IT时报》记者了解，网关识别并非仅仅识别手机号码，而是通过电信运营商安全级别所控制的移动网络、手机卡进行的自动认证。也就是说，电信运营商首先要通过附近的基站网络确认你的手机号码，然后与内置认证证书的手机卡信息进行匹配，一旦确认二者匹配，手机用户身份也被确认。
　　目前，三家电信运营商都提供“一键免密登录”服务。
　　天翼数字生活科技有限公司天翼账号产品经理刘炜告诉记者，免密认证在技术原理上是认证本机号码，避免了因为“短信轰炸机”等非法软件调用同一个号码形成短信轰炸的现象，同时，也在一定程度上解决了短信验证码无法溯源的问题。所有认证的网络请求，均由天翼自主研发的SDK集成及发起，从而确保每一次认证需求都是通过本手机号主动发起，“采用这种方式认证的网站越来越多，9月，我们的活跃应用数超过1.8万个，主要是来自于互联网的应用，例如今日头条、抖音、支付宝等行业头部应用。”
　　当然，短信验证码短期内也无法被彻底取代，然而简单增加图形验证等方式，可能便是一道屏障，为黑产增加相应操作成本。由于“短信轰炸服务”售价很低，一旦成本上升，“性价比”降低，黑产方式的使用率便会大大降低。
　　此外，手机用户则可以通过一些安全软件防止被轰炸。据腾讯手机管家产品经理戴月介绍，最近手机管家推出了“一键拦截短信轰炸”服务，只要在App里将开关打开，便可以直接屏蔽短信轰炸场景，但不影响用户收到其他短信。